‘Klik snel op deze link.’ Ruim 71.000 medewerkers van mkb-bedrijven in Noord-Holland kregen vorig jaar een nepmail om te testen hoe oplettend ze waren. Bij 18% won de nieuwsgierigheid het van de waakzaamheid: de link werd aangeklikt. De afbeelding in de mail werd door 26% gedownload.

Als in dit geval écht hackers hadden toegeslagen waren de gevolgen niet te overzien geweest. De mkb’ers bleken in alle drukte weinig oog voor cyberveiligheid te hebben. Daarom biedt het Regionaal Platform Criminaliteitsbeheersing Noord-Holland gratis trainingen aan – online sinds de coronacrisis. Met rijks- en gemeentesubsidie doen winkeliers en andere mkb’ers mee, zoals in Havengebied IJmuiden. Trainer Benjamin Korper leidt hen onder meer rond op het darkweb van hackers om te laten zien wat er mis kan gaan.

De IT-expert kent een bedrijf dat al dertig jaar succesvol reclame maakte voor bekende voedselmerken. Tot alle data werden gehackt en het bureau voor honderdduizenden euro’s aan video-opnamen kwijtraakte. ‘De eigenaar verloor toen ook meteen het vertrouwen van klanten en leveranciers, die hun gegevens niet meer durfden te delen. Die cyberaanval kostte hem zijn bedrijf – en vanwege de vele spanningen ook zijn huwelijk.’

Preventie verkleint de kans dat dit horrorscenario zich bij meer bedrijven voordoet, benadrukken de aanbieders van bewustwordingstrainingen. Van grote consultancybureaus zoals Deloitte en EY tot kleine IT-bedrijven: ze hebben allemaal hun eigen manier om de alertheid bij medewerkers te vergroten. Zo zijn er games, simulaties, meerkeuzetoetsen, quizzen en praktijkverhalen van ethische hackers (zie kader ‘Van games tot nep-aanvallen’).

‘Ik begrijp dat bedrijven trainingen afdwingen, maar het effect is tijdelijk’  

Herhaling  

‘Veel aanbieders vissen in dezelfde vijver’, zegt Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft. ‘Ik vermoed dat ze tienduizenden euro’s per training krijgen, zo’n € 100 per medewerker. Niemand heeft er zin in, maar vaak móét je wel meedoen om te voorkomen dat je niet meer kunt inloggen. Ik begrijp dat bedrijven trainingen afdwingen, maar het effect is tijdelijk.’

Van Eeten verwijst naar onder andere een Duits wetenschappelijk onderzoek uit 2020 naar het effect. Bij ruim vierhonderd medewerkers van een organisatie in het publieke domein was de waakzaamheid kort na een bewustwordingsprogramma toegenomen. Ook vier maanden later lieten minder mensen zich verleiden tot domme acties, maar na een halfjaar was dat effect weer weg.

Trish McGill, management consultant cybersecurity bij Ilionx, gelooft om die reden juist in de kracht van de herhaling. Het IT-kennisbedrijf waarvoor zij werkt (acht vestigingen en ruim elfhonderd medewerkers in Nederland) richt zich op onder meer zakelijke dienstverleners en de overheid. Behalve digitale ondersteuning biedt het ook trainingen aan in de vorm van interactieve rollenspellen en educatieve filmpjes. Na een maand of twee wordt getest of de informatie is blijven hangen. ‘Vooral in het eerste jaar moeten we een aantal keer gesimuleerde phishingmails sturen om een basis te leggen. We zullen nooit rapporteren wie die heeft aangeklikt. De consequentie is vaak wel dat die persoon helaas nog een training moet doen, of dat nu de financieel directeur is of de receptionist.’

De bedrijfstop moet het goede voorbeeld geven, vindt McGill. Zij hoort leidinggevenden en bestuurders vaak mopperen over stomme wachtwoorden die steeds moeten veranderen. Bij de IT-afdeling wordt dan een gemakkelijke versie geregeld. ‘Daar gaat het al fout, want een cyberaanval op een ceo kan het hele bedrijf platleggen. Hackers weten dat daar zwakke plekken kunnen zitten. Ik begrijp dat managers en bestuurders andere zaken aan hun hoofd hebben, maar zij hebben een papa- en mamarol.’

Geraffineerde ceo-fraude heeft in 2018 inderdaad tot een miljoenenschade geleid, bij bioscoopketen Pathé, bevestigt de hoogleraar. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor. Ze stuurden mails naar de Nederlandse directie met het verzoek om geld over te maken. Via een phishingmail wisten ze in het systeem te komen. Van Eeten: ‘Ook na een training klikt een bepaald percentage van alle werknemers op zulke nepmails. Dat is onvermijdelijk. Kijk eens naar het aantal werkmails dat je wekelijks krijgt met het dringende verzoek om op een link te klikken en in te loggen, of het nu voor je verlofregeling of voor je jaarlijkse evaluatie is. Je traint medewerkers dagelijks on-bedoeld om veiligheidsadviezen te negeren.’

Ilionx-consultant McGill beaamt dat medewerkers door tegenstrijdige veiligheidsvoorschriften in verwarring kunnen raken. Zij verwacht dat nieuwe ontwikkelingen zoals identificatie met je vingerafdruk of stemherkenning in de plaats komen van inlogsystemen. Kennis van de risico’s blijft wat haar betreft wel nodig. ‘Bedrijven gaan steeds vaker in contracten vastleggen dat ze dat van medewerkers en leveranciers verwachten.’   

Hoge eisen

Werkgevers kunnen het volgen van een training verplicht stellen. Vooral bij banken en de financiële dienstverlening is dat het geval. Wie wegduikt, hangt afsluiting van het computersysteem boven het hoofd. Dat lijkt rigoureus, maar volgens programmamanager Marco Verschragen, van het Regionaal Platform Criminaliteitsbestrijding Noord-Holland, stelt de Autoriteit Financiële Markten hoge eisen aan bedrijven die hun beveiliging op orde willen hebben.

Hoogleraar Van Eeten wil bewustwordingsprogramma’s niet afraden, ‘want dan krijg ik de poppen aan het dansen in de trainingssector’. Maar hij klinkt enthousiaster over een experiment van een collega die medewerkers eigen ervaringen met cyberaanvallen laat delen. ‘Dat is niet alleen goedkoper, het vergroot ook de betrokkenheid.’ Trainer Benjamin Korper reageert verontwaardigd: ‘Laat de hoogleraar eens meekijken bij ons.’

Bron: FD.